Компанія ESET — лідер у галузі інформаційної безпеки — виявила уразливість, що впливає на більшість систем на основі UEFI та дозволяє кіберзлочинцям обійти механізм захисту UEFI Secure Boot. Використання цієї уразливості може призвести до виконання небезпечного коду під час завантаження системи, дозволяючи потенційним зловмисникам легко розгортати шкідливі компоненти (наприклад, буткіти Bootkitty або BlackLotus). Це можливо навіть у системах із увімкненим механізмом UEFI Secure Boot та не залежить від інстальованої операційної системи.
Уразливість CVE-2024-7344 було виявлено в компоненті UEFI, підписаному стороннім сертифікатом UEFI «Microsoft Corporation UEFI CA 2011». Спеціалісти ESET повідомили про результати Координаційний центр CERT (CERT/CC) у червні 2024 року, який успішно зв’язався з відповідними постачальниками. Наразі проблему вирішено в продуктах, на яких це впливало, а старі уразливі бінарні файли були відкликані Microsoft у виправленні від 14 січня 2025 року.
Компонент UEFI є частиною кількох пакетів програмного забезпечення для відновлення системи в режимі реального часу, розроблених Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. і Signal Computer GmbH.
«Кількість уразливостей UEFI, виявлених за останні роки, і помилки в їх виправленні або оновленні уразливих бінарних файлів протягом певного періоду часу показує, що навіть така важлива функція, як UEFI Secure Boot, не повинна вважатися непроникним бар’єром», — розповідає Мартін Смолар, дослідник ESET. — Однак найбільше хвилює той факт, що це не перший випадок виявлення очевидно небезпечного бінарного файлу UEFI з підписом. Тож виникає питання, наскільки поширене використання таких небезпечних методів серед сторонніх постачальників програмного забезпечення UEFI та скільки інших подібних невідомих, але підписаних завантажувачів може бути».
Використання цієї уразливості не обмежується системами з інстальованим програмним забезпеченням для відновлення, оскільки зловмисники можуть перенести власну копію уразливого бінарного файлу в будь-яку систему UEFI із зареєстрованим сертифікатом UEFI стороннього виробника. Крім того, для розгортання уразливих та шкідливих файлів у системному розділі UEFI потрібні підвищені привілеї (локальний адміністратор у Windows; root у Linux). Уразливість спричинена використанням спеціального завантажувача PE замість використання стандартних і безпечних функцій UEFI LoadImage та StartImage. Це впливає на всі системи UEFI з увімкненим стороннім підписом Microsoft UEFI.
Ризик використання цієї уразливості можна мінімізувати, застосувавши останні оновлення UEFI від Microsoft. Системи Windows мають оновлюватися автоматично. Поради Microsoft щодо уразливості CVE-2024-7344 можна знайти за посиланням. Для систем Linux оновлення доступні через Linux Vendor Firmware Service.
Детальніше про уразливість читайте в повному дослідженні.